在某些学习或者特殊需求的情况下要对linux下动态库*.so文件内部的函数名进行修改。
比如一个函数ADD(int a,int b);修改为Add(int a,int b);
通过这篇文章你将了解到在linux下动态库函数名寻址的规则,截止2024年3月linux动态库的寻址规则已经出现多种,这里不会一一介绍。这篇文章仅提供规则,并不提供修改函数名的相关代码和执行文件。如果有需要请留言沟通。
开发环境:Ubuntu20、gcc、g++、IDAPro(Windows下安装即可,版本不限)。
必备知识:ELF文件标准(linux下执行文件头)、IDApro的使用方法。
建议了解:linux 动态库加载流程(自行寻找资源,后续可能给出链接)参考文档(P73):https://paper.seebug.org/papers/Archive/refs/elf/Understanding_ELF.pdf
正文开始:
编译简单的动态库和调用代码。
以下为测试代码:其中仅有两个函数分别是ADD和MINUS的动态库代码;使用main.cpp链接api.so对这两个函数进行调用,并执行。最终再修改main.cpp对ADD的调用修改为Add,同时不编译动态库,仅对动态库的二进制文件进行修改的情况下,完成调用。
注:下列代码仅为参考,并未规范处理。编译命令见main.cpp。
//myAPI.h
//int ADD(int a, int b);
//int MINUS(int a, int b);#ifdef __cplusplus
extern "C" {
#endif// int Add(int a, int b);
int ADD(int a, int b);
int MINUS(int a, int b);#ifdef __cplusplus
}
#endif
//myAPI.cpp
#include "api.h"// int aaa(int a, int b){
int ADD(int a, int b){return a + b;
}
// int aaa(int a, int b){
// return a + b;
// }
int MINUS(int a, int b){// int c = ADD(a,b);int c = b;return a - c;
}
//main.cpp
#include "api.h"
#include <iostream>
// #include <hash.h>
// 使用hash表做编译,不写使用ELF GUN hash 或者两者兼顾// g++ -shared -fPIC -o libapi.so api.cpp -Wl,--hash-style=sysv /// -Wl,--retain-symbols-file=retain-symbols.txt
// 链接动态库生成执行文件// g++ -o main main.cpp api.h -L. -lapi
// 添加动态库路径到环境变量中// export LD_LIBRARY_PATH=$LD_LIBRARY_PATH:/.
int main(){std::cout << "1 + 1 = " << ADD(1, 1) << std::endl;std::cout << "1 - 1 = " << MINUS(1, 1) << std::endl;return 0;
}
通过上述步骤你将获得libapi.so和main两个可执行文件。并且执行main时,运行正常。
打开IDAPro,将libapi.so使用IAD进行逆向,能够查看二进制文件即可。
idx name hash_val3 __cxa_finalize 0BEA6495 000000024 _Z5MINUSii 01E5E459 000000015 _ITM_registerTMCloneTable 0B7268A5 000000016 _ITM_deregisterTMCloneTable 012F7225 000000017 _Z3ADDii 0D758CB9 000000028 __gmon_start__ 0F4D007F 00000000ida pro 提供数据如下:; ELF Hash Tableelf_hash_nbucket DCD 3elf_hash_nchain DCD 9elf_hash_bucket DCD 8, 6, 7elf_hash_chain DCD 0, 0, 0, 0, 0, 4, 5, 3, 0; ELF Symbol Table0 Elf64_Sym <0>1 Elf64_Sym <byte_300 - byte_300, 3, 0, 7, .init_proc, 0>2 Elf64_Sym <byte_300 - byte_300, 3, 0, 0x12, __dso_handle, 0>3 Elf64_Sym <aCxaFinalize - byte_300, 0x20, 0, 0, dword_0, 0> ; "__cxa_finalize"4 Elf64_Sym <aZ5minusii - byte_300, 0x12, 0, 9, _Z5MINUSii, 0x28> ; "_Z5MINUSii" ...5 Elf64_Sym <aItmRegistertmc - byte_300, 0x20, 0, 0, dword_0, 0> ; "_ITM_registerTMCloneTable"6 Elf64_Sym <aItmDeregistert - byte_300, 0x20, 0, 0, dword_0, 0> ; "_ITM_deregisterTMCloneTable"7 Elf64_Sym <aZ3addii - byte_300, 0x12, 0, 9, _Z3ADDii, 0x20> ; "_Z3ADDii" ...8 Elf64_Sym <aGmonStart - byte_300, 0x20, 0, 0, dword_0, 0> ; "__gmon_start__"; ELF String Tablebyte_300 DCB 0 ; DATA XREF: LOAD:0000000000000240↑o; LOAD:0000000000000258↑o ...aGmonStart DCB "__gmon_start__",0 ; DATA XREF: LOAD:00000000000002E8↑oaItmDeregistert DCB "_ITM_deregisterTMCloneTable",0; DATA XREF: LOAD:00000000000002B8↑oaItmRegistertmc DCB "_ITM_registerTMCloneTable",0; DATA XREF: LOAD:00000000000002A0↑oaCxaFinalize DCB "__cxa_finalize",0 ; DATA XREF: LOAD:0000000000000270↑oaZ3addii DCB "_Z3ADDii",0 ; DATA XREF: LOAD:00000000000002D0↑oaZ5minusii DCB "_Z5MINUSii",0 ; DATA XREF: LOAD:0000000000000288↑oDCB 0, 0, 0, 0, 0, 0, 0
规则:
规则:idx是直接读取 ELF Symbol Table 里面的 内容,顺序和 ELF String Table 里面的不同
hash_val 通过特定的方法计算得出。
elf_hash_nbucket 这个值编译器根据方 案计算出的,一般(总符号数/4 + 1) 在附近选择一个素数,能 够使数据更加离散。
elf_hash_nchain 这个值是符号的个数 。
elf_hash_bucket DCD 8, 6, 7
根据下表计算出的hash_val从最下面开始,第8个 0 ,接着第6个 1, 第7个是2。
elf_hash_chain DCD 0, 0, 0, 0, 0, 4, 5, 3, 0
根据下表计算出:
在计算的hash=0有 8,
计算的hash=1有 6,5,4
计算的hash=2有 7,3
因此:elf_hash_bucket[0] = 8;elf_hash_bucket[1] = 6;elf_hash_bucket[2] = 7;
elf_hash_chain[8] = 0
elf_hash_chain[6] = 5; elf_hash_chain[5] = 4; elf_hash_chain[4] = 0
elf_hash_chain[7] = 3;
对橙色部分的内容进行解释:
hash为0的只有8,结尾默认0,故hash_chain[8]=0。
hash为1的有6,5,4 结尾默认0,故hash_chain[6]=5,hash_chain[5]=4,hash_chain[4]=0
同理,hash为2的如上。
至此,你已经了解了--hash-style=sysv使用传统ELF编译动态库,hash表的生成规则了,其本质是一种快捷的链式结构。
使用十六进制编辑器,将hash表对应的函数ADD->Add,然后调整ELF hash链表。
3 __cxa_finalize 0BEA6495 000000024 _Z5MINUSii 01E5E459 000000015 _ITM_registerTMCloneTable 0B7268A5 000000016 _ITM_deregisterTMCloneTable 012F7225 000000017 _Z3Addii 0D77ACB9 000000008 __gmon_start__ 0F4D007F 00000000hash_val = 0: 8,7hash_val = 1: 6,5,4hash_val = 2: 3elf_hash_bucket DCD 8, 6, 3elf_hash_chain DCD 0, 0, 0, 0, 0, 4, 5, 0, 7
注:使用IDA获取这个表的时候,有对应值在二进制文件的偏移,可以根据偏移直接修改。这一过程修改了hash table 和 string table两部分,上面首为7的行,已经和最开始的不一致了,是通过elf_hash(string)获得到的。这个函数的实现,资源较多。稍后进行链接给出。
调整完毕,再将main.cpp和api.h两个文件的ADD->Add。如下:
//myAPI.h
//int ADD(int a, int b);
//int MINUS(int a, int b);#ifdef __cplusplus
extern "C" {
#endif// int Add(int a, int b);
int ADD(int a, int b);
int MINUS(int a, int b);#ifdef __cplusplus
}
#endif
//----------------------------------
//main.cpp
#include "api.h"
#include <iostream>
// #include <hash.h>
// 使用hash表做编译,不写使用ELF GUN hash 或者两者兼顾// g++ -shared -fPIC -o libapi.so api.cpp -Wl,--hash-style=sysv /// -Wl,--retain-symbols-file=retain-symbols.txt
// 链接动态库生成执行文件// g++ -o main main.cpp api.h -L. -lapi
// 添加动态库路径到环境变量中// export LD_LIBRARY_PATH=$LD_LIBRARY_PATH:/.
int main(){std::cout << "1 + 1 = " << Add(1, 1) << std::endl;std::cout << "1 - 1 = " << MINUS(1, 1) << std::endl;return 0;
}
此时,使用修改后的libapi.so和上述两个文件,编译,发现Add可以被正常调用。
结语:此案例中ADD->Add是函数名长度,所以可以避免下面执行的代码不做偏移修改,如果函数名长度不一致,可能导致整个动态库文件出现较大的问题。如果有兴趣,可以查找相关的资料并提交到GNU,说不定你也是对开源社区做贡献的小可爱了。这个案例对有传统ELF hash表有效,其他标准的hash表也是类似的调整方法,了解其运作原理就可以很快出结果。
参考文档(P73):https://paper.seebug.org/papers/Archive/refs/elf/Understanding_ELF.pdf